Wazuh功能——监控安全策略（OpenSCAP）

OpenSCAP wodle是OpenSCAP与Wazuh HIDS的集成，提供了对代理执行配置和漏洞扫描的能力。它主要用于:

验证安全性合规性:OpenSCAP策略定义组织中的所有系统必须满足的需求，以符合适用的安全性策略和/或安全性基准。

执行漏洞评估:OpenSCAP识别并分类系统中的漏洞。

执行专门的评估:OpenSCAP可以执行特定的自定义系统检查。(例如，检查可疑的文件名和可疑的文件位置）

一、怎样工作

安全内容自动化协议(SCAP)是以标准化的方式表达和操作安全数据的规范。SCAP使用几个规范来自动化持续监视、漏洞管理和报告安全遵从性扫描的结果。

安全遵从性评估流程的组成部分:

SCAP扫描器:这是一个读取SCAP策略并检查系统是否与之兼容的应用程序。有许多工具可以根据SCAP策略扫描您的系统。这个wodle是与nist认证的OpenSCAP扫描器的集成。

安全策略(SCAP内容):这些策略决定系统必须如何设置以及检查什么。这些策略包含对系统将需要遵循的规则的机器可读的描述。

概要文件（Profiles）:每个安全策略可以包含多个概要文件，这些概要文件根据特定的安全基线提供一组规则和值。您可以将概要文件视为策略中的特定规则子集;概要文件确定将实际使用策略中定义的哪些规则，以及在评估期间将使用哪些值。

评估(扫描):这是OpenSCAP扫描器根据特定的安全策略和概要文件在代理上执行的过程。通常只需要几分钟，这取决于概要文件中选择的规则的数量。

1、需求

此权限在代理上执行，因此每个代理必须满足以下要求:

OpenSCAP为了执行SCAP评估，我们需要扫描器。如前所述，我们使用OpenSCAP。你可以用以下命令来安装:

基于rpm的发行版:

#yum install openscap-scanner

基于debian的发行版:

#apt-get install libopenscap8 xsltproc

Python 2.6+ Python是这个领域的核心部分。目前所有的Linux发行版都附带python，因此应该不会造成不便。

2、默认策略

以下是Wazuh默认包含的安全策略:

每个代理必须具有/var/ ossec/wodles/oscap/content中的策略。

3、Wodle流

代理将根据配置定期运行openscap-scanner。扫描的每个结果将被发送到管理器，如果结果的状态是失败的，它将生成一个警报。也可以调整规则来发送pass结果。

扫描完成后，发送报告事件，生成警告:

二、配置

1、基本用法

要配置OpenSCAP的选项，请转到ossec.conf，或有关特定选项的详细信息，请参见OpenSCAP部分。

在本例中，我们将Wazuh配置为每天运行OpenSCAP，超时时间为30分钟。

2、评估RHEL7上PCI-DSS的符合性

本节描述如何评估红帽企业Linux 7代理上的支付卡行业数据安全标准(PCI-DSS)合规性。

步骤1:配置代理

必须正确地标识每个代理，以便知道要执行哪个策略和概要文件。

代理的ossec.conf文件:

步骤2:配置管理器

我们只想在Red Hat 7服务器上执行SSG RH7策略的PCI-DSS配置文件。

管理器/var/ossec/etc/shared/default/agent.conf文件(假设代理在默认组中):

步骤3:重新启动管理器和代理

要应用新的配置，请重新启动管理器:

对于 Systemd:

#systemctl restart wazuh-manager

对于 SysV Init:

#service wazuh-manager restart

现在，重新启动所有代理:

#/var/ossec/bin/agent_control -R -a

如果您喜欢，可以使用选项- u < id>重新启动特定代理，其中，id是代理的id号。
第四步，看警报

当评估完成后，你将会看到OSSEC的警告结果

注意，提取每个字段是为了便于搜索和分析。

第五步:仪表盘

最后，您可以使用Kibana的OpenSCAP仪表板研究所有结果。

3、审核红帽产品的安全漏洞

Red Hat安全响应团队为影响Red Hat Enterprise Linux 3、4、5、6和7的所有漏洞(由CVE名称标识)提供 OVAL定义。这使用户能够执行漏洞扫描并诊断系统是否脆弱。

步骤1:配置代理

必须正确地标识每个代理，以便知道要执行哪个策略和概要文件。

代理ossec.conf：

步骤2:配置管理器

我们只想在RedHat 7服务器上执行RedHat安全策略。

管理器shared/agent.conf

步骤3:重新启动管理器和代理

要应用新的配置，请重新启动管理器:

对于 Systemd:

#systemctl restart wazuh-manager

对于 SysV Init:

#service wazuh-manager restart

现在，重新启动所有代理:

#/var/ossec/bin/agent_control -R -a

第四步，看警报

当评估完成后，你将会看到OSSEC的警告结果

注意，提取每个字段是为了便于搜索和分析。

第五步:仪表盘

最后，您可以使用Kibana的OpenSCAP仪表板查看所有扫描结果。

4、重写超时时间

对于特定的评估，有可能重写超时：

5、使用配置文件

我们可以将评估限制在策略的特定profile:

6、用CPE字典

您还可以选择指定CPE字典文件，该文件用于确定哪些检查与特定平台相关。

7、使用IDs

您可以选择datastream文件的特定ID: